1   1  /  1  页   跳转

某病毒查杀录像

制兹八拍兮拟排忧,何知曲成兮心转愁
分享到:
gototop
 

附详细说明[转帖]

2008-05-25 21:59
¤Mò↗路£ 19:53:57
信-银月 13:54:33
清除录像地址
http://xianexs.mail.qq.com/cgi-bin/downloadfilepart/svrid220/%BC%F2%B5%A5%B2%E9%C9%B1%C2%BC%CF%F1.rar?svrid=220&fid=d2be53b7b0e4df27ca0164c28b98577b1f3f0dd183418032&&txf_fid=40a8ab071fb69ce70fb677a05167f69fb52c0489&&txf_sid=5d86bdb12a6244c1e73f5b0e807d347ca3b55398


提取码:22479973
清除视频提供者:绘梦银月(极品QQ号)
样本地址:http://bbs.ikaka.com/showtopic-8507702.aspx(可能需要瑞星卡卡社区嘉宾以上级别才能下载,假如不能下载也没什么大不了,只是提供这个纪录视频希望能对大家将来手动清除病毒提供一个启示)
文中(视频中)所使用过的工具可以参考:
LQQK7大版主的签名中的常用工具地址:
http://www.lx2lqq.com.cn/read.php/1.htm(里面全是好东西,能收就收吧!)
现像:
病毒样本运行后,无声无息就将瑞星监控关闭(瑞星版本:20.45.50,瑞星20.45.60-20.45.62已可查杀此样本)。
运行之后,过不了多少时间即会开始弹出广告网页。
该样本的一些清除关键说明:
该病毒会创建两三个驱动:
C:\WINDOWS\system32\drivers\KPDrv.sys(干掉杀毒软件的进程,瑞星是已知能杀掉的,试过2007.12.31的江民,效果也不太好)
C:\WINDOWS\system32\drivers\F.tmp
C:\WINDOWS\system32\drivers\oreans32.sys(病毒自己的主驱动启动项)
启动项有:
C:\WINDOWS\system32\xpserve.exe(病毒的自运行项)
系统登录启动项:
C:\WINDOWS\system32\dllcache\lsoss.exe(拥有特级权限,是病毒的主运行项)
会在系统根目录下创建:
Autorun.inf
[C:\]
[Autorun]
open=net.exe
shell\open=打开(&O)
shell\open\Command=net.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=net.exe
shellexecute=net.exe
shell\Auto\command=net.exe
这个INF文件,和net.exe这个病毒主体文件,以达到通过U盘传播的途径(要是你在电脑中毒期间联接过同事的U盘,恐怕过一会儿同事会找你拼命了!!)
虽然这个病毒创建的病毒项并不太多,感觉上会比较好清除。
但实际上当病毒完全运行之后,清除就不是那么简单了。下面说说我的清除经过:
一开始使用老牌方法:用CTRL+ALT+DEL打开任务管理器,想找到病毒运行的进程,但是任务管理一闪就没了(被病毒强行关闭)。然后我找到瑞星卡卡安全助手的安装路径,将瑞星卡卡安全助手的主程序改名(避免被病毒用注册表劫持安全工具),但是运行之后,瑞星卡卡安全助手迟迟不出来(后来才知道,病毒已将此程序感染,差不多是属于蠕虫类病毒了)。
直到这时,我才知道问题的严重性。
于是拿出镇毒之宝:冰刃,。
将冰刃下载到C:\windows(系统目录,病毒一般不感染)
但是冰刃运行之后,也是一闪就没了(也被感染了)。
于是我就只得换第三方工具了(还好,平时回帖时,注意了那些版主们的签名,所以找到了大版版LQQK7的那个常用工具地址,下载去了)。
能运行的工具有:
SRENG2(可以正常运行,病毒不会关闭也不会感染该工具)、狙剑、还有几个进程管理类的工具。
SRENG2是个非常不错的日志扫描工具,配合SRENG2日志分析助手和通用病毒杀灭机可以有效的清除流行病毒。但是当时头昏了,因为系统开始报系统文件被替换。这时就彻底的明白这病毒是什么性质了。于是检查了以前桌面上的程序文件,发现都被破坏,并且替换为8.4M的病毒主体文件(不是感染,是替换,感染还有可能通过杀毒软件修复,但替换了的话,就很难恢复的。)
于是当晚用进程管理工具/SRENG2轮流上,经过一番折腾,突然想起了:syscheck这个据说可以和冰刃相抗衡的工具。
通过这个工具,知道了病毒存在哪些进程、存在哪些驱动。便开始结束病毒的进程,删除病毒的驱动。
经过一番操作,发现任务管理器已经可以打开、冰刃也可以使用了。
于是想用这个病毒测试传说中的最牛的江民软件(据说冰刃也无法结束江民的进程)。
于是装上江民试用版(免费30天),因为病毒库日期是2007年12月31日的,虽然这个时候的江民2008已经是很完善了(这个时候冰刃已经无法结束他的进程了),但是毕竟没有经过机器狗和磁碟机的重要洗礼。所以觉得用这个版本测试病毒的话,即使病毒能干掉江民的监控,那也不能说明什么问题。
所以便点击了江民的升级按钮,升级页面出来了一段时间后,居然突然关闭了。并且又开始弹出广告网页——病毒复活了!!!
当我再次将鼠标移动到江民的右下角监控时,发现居然消失了(被病毒关闭了)。当时就出冷汗。。。
又折腾了一回,病毒终于又“死”了。。。。。我觉得应该装上卡卡安全助手了,安装到最后一步时,突然弹出一个看图软件安装的程序(觉得有点不妙,平时也装过好几十回瑞星卡卡安全助手,从没有发生这情况),马上把看图软件的安装程序取消。发现瑞星卡卡安全助手已经安装完了。
马上打开瑞星卡卡安全助手,经过比较久的等待之后,瑞星卡卡安全助手还没有出来。一检查,发现病毒又感染了卡卡安全助手(我崩溃了。。。)
于是当晚决定先睡觉,明天再来大战!休息。。。。。
第二天,也就是今天了不知道什么缘故(可能是病毒搞得人憔悴吧。。),十点半才起床。。
又是经过一番折腾,用syscheck结束了比较明显的病毒进程,使得任务管理器能打开了,便想起用冰刃来干掉这病毒。
于是,感觉非常兴奋!!!
便把冰刃截了一个屏,然后向群里发了一这个图,然后说一声:“久违的冰刃,终于又出来了”。
过了一会儿,跳出两人。。。
豪堡新郎同志说:还没有搞定啊。。。。。
然后蓝天同志也说了几句啥的。。
不知道什么原因,银月同志说:样本在哪?我玩玩。。。。。。不要穿透才好玩


偶当时已经发现病毒用冰刃也清除不了时,头都大了,所以吓唬他说:不要在影子系统里玩,要不,你就要玩完了.
那家伙就说:样本在哪?
我说在他老窝里,那家伙居然还找我要地址......
还好他自己识相,3下五除二就去下载了..(要不,偶非说他是超级超级懒不可!)
偶又艰苦奋斗了几回,那家伙就发来消息:病毒清除很简单嘛.
偶当时就想吐血....(心想:你这家伙,牛有点吹大了吧,我都搞了一天一夜没搞定了......)
没想到,那家伙后面跟来了一句:要不要录个视频给你啊..
(我当时就一个想法牛!!,便说:要!)
经过上传与下载之后,便看到了这个只有20分钟长的视频...
在看视频的过程中,他也跟了一句:
(信-银月 13:35:54
对了,我做的录像,基于未感染exe,所以清除简单)
看完之后,才发现我犯了很多比较严重的问题:
1.没有认真分析SRENG2日志,所以才会摸不着头脑,分不清楚哪个是病毒主体.
2.居然没有寻找和删除IEFO劫持项(也正是这个IEFO劫持项,他虽然没有劫持杀毒软件的组件,但是他劫持了Setup.exe这个安装程序.所以,只要安装了程序,病毒就会被激活)
3.没有使用超强的组合:SRENG2+SRENG2分析助手+病毒通用杀灭机=无敌
于是,赶紧扫描了一份SRENG2日志,然后使用SRENG2分析助手分析,列出了修复指令。
于是便把病毒通用杀灭机请进了虚拟机,发现病毒也不会杀掉这个工具,就导入修复指令。
经过一轮重启之后,发现病毒的C:\WINDOWS\system32\xpserve.exe已经被杀死了。
但是仍会弹出广告网页(病毒还没有死。)(这与银月同志的视频前段有些不同)
于是我便重新看了一遍视频后段。
发现银月会搜索病毒主体文件。
所以,搜索时勾选了搜索隐藏的文件,并且设置为.exe,文件大小设置为8000K以上(8000K=8M左右)
因为已经确定8.4M左右被感染的文件无法修复了,所以我就把他们都删除到回收站了。(瑞星被破坏的组件也删除了。)
当删除到被感染的正在运行的江民程序时,发现无法删除
便用syscheck结束掉江民的进程,发现无法结束,便用SYScheck恢复了系统的SSDT勾子,发现仍无法删除
再用狙剑去结束江民的进程,也是无法结束..(因为江民升级时,被病毒感染了升级组件,无法结束江民进程,这个时候江民差不多就是病毒的保护伞了——有点郁闷的感觉。。。。)
又试过用狙剑的破坏文件功能,还是无法结束江民的进程。。
于是重来:1。把江民的主要进程改名。2。寻找江民的驱动启动项,并把他们删除(因为江民的自我卸载程序出现的话,就会被病毒关闭,所以只得自己毁掉江民了);
重启之后,江民的组件都可以删除了。到这,能搜索到的病毒主体文件,已经删除得差不多了。。
这时,病毒没了保护伞,而我的思路也非常清晰了。
于是,把病毒运行的进程干掉,使得冰刃可以打开。然后运行冰刃(这时病毒不会再感染冰刃的文件了),运行之后,先结束掉隐藏的IE进程和病毒的另一个进程。然后在驱动文件夹里中寻找病毒的驱动,右键强制删除,删除的时候感觉有点不太放心,所以就没有删除,转而用冰刃删除病毒的IEFO劫持项、自启动项、系统登录启动项等(比较多的工具都据称可以与冰刃相比,但好像觉得有些工具没有像冰刃这么强大注册表编辑、进/线程控制等一系列组合功能,有点可惜。。)
删除完注册表之后,再使用狙剑的破坏文件功能,再用改名功能,将已知的病毒进程/驱动/DLL文件等全改名.
然后再搜索一遍8000KB以上的病毒主体文件,并且删除,然后重启电脑。。。。
这时,我再安装江民,想再实验一下时,提示:试用版什么什么东东,反正就是用不了。。。。(免费的东西还真麻烦!)
于是装上电脑中原来备份的正版瑞星,顺便升了一下级。。。
发现瑞星也可以查杀这个样本了。。(大难到头了。。。
因为病毒主体文件已被删除,所以瑞星就清除被感染HTM文件了。
但这个已经不重要了。
结语:吃一堑长一智!
安全措施千万要搞好,时刻保持警惕!假如你使用瑞星杀毒软件的话,建议你不要怕麻烦,扫描一份SRENG2日志,然后找高手帮你瞧瞧,确定有没有病毒。(什么??你不认识高手????···到这里转转:http://bbs.ikaka.com/,比较多的版主都是热心人士,去茶馆和他们及其它网友聊聊天,聊多一点,聊熟一点,你是女生的话,就可以直接找版主帮忙(没办法,我认识的那些鸟版主,个个都是对女生勤快,对男生说:你去重装系统吧。包括银月,除非你用正版瑞星,并且有请得动他的理由,否则有50%的可能性会不搭理你。。。。),你是男生的话,多观察他们的帖子,多去http://bbs.ikaka.com/showforum-109.aspx学习版主的一些分析。最多注意半年,假如你够勤快,经常查看自己电脑的日志,并且和别人的日志对比,询问版主一些你遇到的问题或者是问技巧,但是,问之前,请先百度一下,让自己的心里有点底,要不,版主不回到或者是版主回答的你看不懂,那都是个超级郁闷的问题。。。。。。。。。)
另:虽然瑞星有时候会令人比较失望,但是,他却有一个自定义防御功能,你使用得好的话,几乎可以和SSM媲美(前提是你在自定义的主动防御设置中勾选了驱动安装监控和驱动加载监控,这两个会出现很多提示,所以需要增加常用软件到瑞星的主动防御白名单中才可以最大限度的减少提示,最大限度的准确可疑病毒预报!!)。
祝大家好运!·电脑健健康康的,龙虎精神!
阿门~~~
—完—

本帖被评分 1 次
传说在很远的古代,一个庙里,有一个大神与一个小鬼住在里面。天下了大雨,庙前的河里长了水。来了一个人,过不了河,就把庙里的大神搬了出去,丢在河里,然后他踏在大神的身上,飞跳了过河。等会又来了
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT